كشف باحثون في الأمن السيبراني عن تفاصيل عائلة جديدة من برمجيات الفدية تحمل اسم Osiris، استهدفت في نوفمبر 2025 إحدى الشركات الكبرى العاملة في قطاع الخدمات الغذائية بجنوب شرق آسيا. الهجوم اعتمد على برنامج تشغيل خبيث باسم POORTRY ضمن تقنية معروفة باسم Bring Your Own Vulnerable Driver (BYOVD)، والتي تُستخدم لتعطيل أدوات الحماية الأمنية.
يُعد Osiris سلالة جديدة كلياً لا تشترك في أي خصائص مع النسخة القديمة التي ظهرت عام 2016 كإحدى نسخ برمجية Locky. حتى الآن لم يُعرف مطورو هذه البرمجية، ولا ما إذا كانت تُعرض كخدمة برمجيات فدية (RaaS). ومع ذلك، أشارت مؤشرات إلى ارتباط المهاجمين سابقاً ببرمجية INC ransomware المعروفة أيضاً باسم Warble.
آلية التنفيذ والأدوات المستخدمة
الهجوم تضمن استخدام مجموعة واسعة من الأدوات المزدوجة الاستخدام مثل Netscan وNetexec وMeshAgent، إضافة إلى نسخة مخصصة من برنامج Rustdesk للتحكم عن بُعد. كما استُخدم برنامج Rclone لتهريب البيانات الحساسة إلى خوادم تخزين سحابية تابعة لـ Wasabi قبل نشر الفدية.
برمجية Osiris تعتمد على تشفير هجين مع مفتاح فريد لكل ملف، وتتميز بمرونة عالية، إذ يمكنها إيقاف الخدمات، تحديد المجلدات والامتدادات المراد تشفيرها، إنهاء العمليات، وإسقاط مذكرة الفدية. بشكل افتراضي، تستهدف البرمجية إنهاء عمليات مرتبطة بتطبيقات مثل Microsoft Office وExchange وFirefox وWordPad وNotepad وVeeam، إضافة إلى نسخ الظل (Volume Shadow Copy).
خصوصية برنامج التشغيل POORTRY
على عكس هجمات BYOVD التقليدية التي تستغل برامج تشغيل شرعية لكنها ضعيفة، فإن POORTRY مصمم خصيصاً لرفع الامتيازات وإنهاء أدوات الحماية. كما استُخدم أيضاً أداة KillAV لنشر برامج تشغيل ضعيفة إضافية لتعطيل عمليات الحماية. وتم تفعيل بروتوكول RDP على الشبكة المستهدفة لتوفير وصول عن بُعد للمهاجمين.
مشهد الفدية العالمي وتطوراته
تقرير مشترك من Symantec وCarbon Black أشار إلى أن هجمات الفدية بلغت 4,737 هجوماً في 2025، بزيادة طفيفة عن العام السابق. أبرز المجموعات النشطة شملت Akira، Qilin، Play، INC، SafePay، RansomHub، DragonForce، Sinobi، Rhysida، وCACTUS.
من بين التطورات اللافتة:
- استغلال Akira لثغرات في SonicWall SSL VPN للوصول إلى بيئات الشركات الصغيرة والمتوسطة.
- استمرار LockBit في تطوير نسخته 5.0 رغم محاولات الإغلاق، مع اعتماد نموذج نشر ثنائي المراحل.
- ظهور عملية RaaS جديدة باسم Sicarii يُعتقد أنها قد تكون عملية تضليل (False Flag).
- رصد هجمات Makop في الهند والبرازيل وألمانيا عبر استغلال بروتوكولات RDP غير المؤمنة.
- اكتشاف خلل في برمجية Obscura يجعل الملفات الكبيرة غير قابلة للاسترداد نهائياً.
- ظهور برمجية جديدة باسم 01flip مكتوبة بلغة Rust تستهدف أنظمة ويندوز ولينكس في آسيا والمحيط الهادئ.
